 |
|
|
|
[合著] 遇强越强——“雅典娜”网页密码锁攻防战实录
[ 2008-04-07 18:10:56 ]
引言/提要:龙之梦工作室自主开发的“雅典娜”网页密码锁软件,集成了网页加密防下载、防打印、防拷贝、防抓屏、防伪造功能,打破了所谓documentElement.outerHTML“终极破解法”的神话。
关键词:雅典娜,网页密码锁,安全软件,网页保护,网页加密,网页破解,核心技术
龙之梦工作室自主开发的“雅典娜”网页密码锁软件,为了经受实战的考验,验证加密网页的坚固性,从软件推出之初,就同时公布了演示网页http://www.28x28.com/doc/demo2.html,公开请广大网友尝试破解。
安全是相对的,并不存在绝对的安全。“雅典娜”网页加密软件不需要浏览者下载安装客户端,那就必须依赖Internet Explorer浏览器内核进行解密。而Internet Exploerer内核本身不太可靠,容易出现漏洞,难免影响到“雅典娜”的防御保护。
在长期公开演示的过程中,不时有技术高超的热心网友找到突破口,挑战“雅典娜”的防御体系。而龙之梦工作室也随即进行软件升级,加入针对性的防御措施,弥补漏洞。一场道高一尺,魔高一丈的技术性网页攻防战正在互联网上演,并将持续下去。
有竞争才会有进步,遇强越强是奥林匹克精神的重要体现。龙之梦工作室十分欢迎这种高技术含量的竞技性对抗,并向各位热心参与的网友,表示衷心的感谢!
以下是一直以来网页攻防战过程中,发表在论坛和留言板上的对话实录:
第一回合:堵住非IE浏览器地址栏漏洞
第二回合:封闭鼠标拖动网页内容漏洞
第三回合:浏览器兼容性引发“诈糊”
第四回合:再补非IE浏览器快捷键漏洞
第五回合:防抓图、抗OCR另有乾坤
第六回合:抵御不明攻击——源码破解
第七回合:并非漏洞的高级防御功能
第八回合:拒绝浮躁,认真态度赢尊重
第九回合:疏忽须检讨,批评应感谢
第十回合:实事求是,真凭实据显功夫
十一回合:遇强越强,技术交流促提高
十二回合:成本计算,小块头有大智慧
第一回合:堵住非IE浏览器地址栏漏洞
龙之梦工作室(2006-08-11 17:03:00):
“雅典娜”拥有强大的保护能力,一改过去网页保护不堪一击的状况,无论是内容复制、查看源代码,还是所谓的documentElement.outerHTML“终极破解法”,都奈何不了“雅典娜”加密过的网页。
经过这种加密的演示网页http://www.28x28.com/doc/demo2.html,公开发布在网上至今,超过100天,尚未有任何人声称成功破解,更没有人提供出破解的方法。
网友(2006-08-28 20:44:32):
没有你们吹得那么神吧?我用下面代码得到了你的小说内容。
javascript: s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
龙之梦工作室(2006-08-29 11:34:15):
首先,为了让大家都能看到这个demo,我们把密钥文件和加密的html文件放在了一起。试想,如果密钥文件被保护起来了,只让允许的人得到,您即使有加密的html文件,还能够打得开吗?
其次,您用的一定不是IE浏览器吧?如果是用IE浏览器,连地址栏都出不来,您那个语句代码可以在哪里输入呢?
同样还是为了让更多的人看到这个demo,我们没有对浏览器版本进行限制。如果限制严一些,非IE的浏览器都不能打开,您还有这个输入代码的机会吗?
大家可以自己编写JavaScript代码增强这些保护功能,这原本并不属于“雅典娜”网页密码锁的核心保护范畴。不过您懂得用别的浏览器来尝试破解,也算是聪明。毕竟demo没有堵住非IE浏览器的缺口,不能不说是个漏洞。
那么很好,攻击与防御本来就是一个魔高一尺、道高一丈的过程,“雅典娜”不久又会推出升级版本,到时候看看非IE浏览器还有没有这么幸运吧!
龙之梦工作室(2006-08-30 18:16:44):
怎么样,“雅典娜”最新的v20060830版,不再对非IE浏览器“网开一面”了。各位还有什么破解方法,只管使出来吧!
第二回合:封闭鼠标拖动网页内容漏洞
龙之梦工作室(2006-08-31 00:38:58):
网页破解复升级,“雅典娜”重塑不死之身
保持了超过120天网页不被攻破的记录,近日有网友报告,找到办法看到公开演示页面demo2.html的HTML源代码。
虽然并未攻破“雅典娜”的核心保护层,即密钥文件不公开情况下,加密网页仍然无法破解,但对于防御较弱的公开演示网页,这毕竟是外围防御体系的一个漏洞。在此,龙之梦工作室向那位不知名网友致谢!
当然,魔高一尺,道高一丈,龙之梦工作室迅速推出“雅典娜”网页密码锁的升级版,修补了这个漏洞。
“雅典娜”是永远不死的。10年前的沉寂尚且能够使“雅典娜”获得重生,何况是这次核心保护层仍毫发无损的情况(详情见文章《十年磨一剑,“雅典娜”原创软件破茧而出》)。升级后的“雅典娜”网页密码锁不必屏蔽地址栏,从而不再对非IE浏览器“网开一面”。但是现在任凭大家输入代码,也不会看见网页源代码了。
同时,得到升级保护的演示页面demo2.html,继续公开接受各位网友的破解攻击尝试。保持不被攻破的时间重新开始计算,且看这次保持的天数会不会再创新高。
网友 pu239(2006-08-31 00:46:19):
是复制 http://www.28x28.com/doc/demo2.html 上面的以下内容吗?……(demo2.html网页内容)
龙之梦工作室(2006-08-31 10:33:38):
是这个意思,限制条件是:
以当前版本的网页为准,从8月30日之前的旧版网页上拷贝不算;(旧版已经证实可以从非IE浏览器查看源代码)
通过屏幕拷贝,再用OCR自动识别出来的不算;(防OCR文字识别另有技术,不是这个演示网页的任务)
人工录入文字,或者仅仅把整个页面完整地“另存为”更不算。(废话)
如果破解成功,请提供具体方法,以便验证(为避免错过了阅读论坛回复,请直接贴在龙之梦工作室网站留言版,或者发电子邮件到 master@28x28.com ),谢谢!
网友(2006-08-31 13:50:57):
加密的文件用IE打开后可以用金山词霸抓词,算不算是问题?
龙之梦工作室(2006-08-31 14:12:24):
单个抓词不是问题,如果能够整段地抓下来才是问题。事实上单个词的复制,依靠人工录入都能完成,根本不需要抓词了。
网友 xiaoxiang(2006-08-31 15:34:39):
文章已经可以轻易复制,操作如下:
1:新建一个word文档。
2:打开dome网页全部选着文章。
3:然后用鼠标左键托动所选的文章放入word中。
文章即被复制。
笔者寄语:你可以用script一类的语言将键盘和鼠标相关键锁死,但是这无疑是治标不治本。可以得到文章的内容的方法我之前说过了,真得太多了。
你的加密技术很好,但是应用到如此开放式的网络访问中,我觉得还是不够的,我们甚至不用攻破你的核心部分就能得到你需要保护的内容。
不少好的加密方法其实大部分应用在相对单一的访问中来实现它的保密作用。
不可否认你的想法很好但是我个人认为就目前所见的东西而言还是不够的也不是那么好实现的。
龙之梦工作室(2006-08-31 20:49:04):
谢谢您的提醒,现在的demo2.html已经把漏洞修补好。您破了最快找到漏洞的记录!
您说的有一定道理,安全保护是一个完整的体系,纯粹的网页保护是不足够的。但HTML是第一道防线,显然不应轻易放弃。
请看另一个页面:http://www.28x28.com/doc/demo3.html,这是我们正在开发的“雅典娜”网页电子书的概念演示页面。这才是防拷贝和OCR识别的真正防线,但因为还没有开发完成,没什么可讲的,所以还是先讨论眼前的demo2.html吧。
单纯依靠HTML保护来防拷贝,对于大多数不太了解技术的用户来说,实在是勉为其难。正如您所见,我们一时疏忽就漏掉了一个保护。
网页防拷贝不容易实现,所以我们把它放在“雅典娜”防御体系的外围,也就是第一道防线。这一层的任务,主要是帮助大多数用户,把常见漏洞都挡住,不需要自己动手。
即使漏洞很多,只要能够一个一个地堵上,已知漏洞始终是有限的。让自动程序来做这件事,比每次人工写代码好得多。
而到了核心层次又有不同,我们不认为您可以轻易得到核心层保护的内容。注意:“雅典娜”网页密码锁的核心保护,在于密钥和密文分离。而demo2.html的密钥文件和加密文件是放在一起的,也就是演示页面并没有启用核心保护,等于是把保险箱和钥匙放在一起。当然,如果分离就没办法演示了(这里演示的主要是外围防御)。
您也可以自己模拟一下:下载demo2.html文件,但是没有密钥文件,假设密钥文件都是我们这里用E-mail发给目标用户(甚至用优盘拷贝给用户的),那么您可以怎样破解呢?您可以用“雅典娜”软件随便生成一个密钥文件,但是跟demo2.html不匹配,解密不了的。
再次感谢您对“雅典娜”的支持,“魔高一尺,道高一丈”是我们进步的动力,欢迎继续找漏洞!
网友 砂子宝(2006-09-01 09:21:16):
加密确实是个不容易的事情,内容图片化确实保护的很强了,祝你取得成功。
第三回合:浏览器兼容性引发“诈糊”
龙之梦工作室(2007-04-15 01:54:01):
加密演示网页demo2.html在经过更新之后,至今已超过半年没有任何破解的消息。
网友 noname(2007-04-17 01:39:19):
在网上下载一个theworld浏览器,基于IE内核,随便看,随便复制。。。
龙之梦工作室(2007-04-17 12:42:17):
哈哈,这位朋友被假象蒙蔽了。您有没有发觉,用theworld打开演示页面 demo2.html 的时候,怎么和 demo1.html 的界面一模一样啊?知道这是怎么回事吗?
请用IE浏览器和theworld同时打开演示页面 demo1.html ,仔细看左下角的计数器,数字是不是不相同啊?这不是同一个页面呢。
真相就在这里:theworld打开页面的时候,由于本身兼容性的原因,遇到“雅典娜”的防下载功能,就产生了一个“404 页面无法找到”的错误(IE浏览器、Maxthon都不会出错)。结果,我们的服务器把404出错的页面,自动重定向到龙之梦工作室网站首页去了。要知道,demo1.html 才被“雅典娜”加密了,我们的网站首页可没有加密哦!当然可以随便看HTML源代码了。
所以打开 demo2.html 会出现 demo1.html 一模一样的界面也就不奇怪了,也是因为404出错而被重定向到首页嘛!
如果想看看theworld是不是真的能够破解 demo1.html 和 demo2.html 演示页面,不要打开我们网站上的页面。请下载最新版本“雅典娜”网页密码锁的软件压缩包,里面的doc目录下面有这两个页面。您直接用theworld打开它们就可以了。我们试验过,theworld是不能够破解这两个加密页面的。而且,本着认真负责的态度,我们花了不少时间,仔细考察过theworld的各种菜单设置,确实没有发现能够破解“雅典娜”的方法。
如果您认为我们对theworld的试验存在疏漏,请告诉我们具体的破解操作方法。又或者,如果theworld或其它浏览器出了什么新版本,能够破解“雅典娜”的加密保护,请尽快告诉我们。我们还有更多的防御技术,正在等待着应对未来的破解。
无论如何,我们非常感谢您提出的意见,欢迎您继续关注和热心支持“雅典娜”网页密码锁,您的支持是我们进步的动力!
第四回合:再补非IE浏览器快捷键漏洞
网友 糖粒子(2007-05-13 17:06:24)
破解方法:
使用世界之窗浏览器(本人用惯了,可以加在插件,分析网页),打开页面按住ctrl+a ,然后再单击鼠标,此刻已经能够选定文字了,然后在菜单栏选编辑,复制(因为右键禁用了),ok! 一个声称开发将近十年,使用n种技术的软件就这样完了!本人用时2分钟。
虽说这个软件有缺陷,但是,他是我见过的最好的html加密软件之一。其中加密解密做的很成功,但是,网页在客户端解密后的保护不足,的精力主要用在加密技术上了。破解方法我会发到他的网站上去的,愿能够做的更好,支持!
本人的网站;好奇搜索引擎qisou.008.net
qq空间详细写明破解加密技术的文章http://user.qzone.qq.com/524533090
龙之梦工作室(2007-05-14 00:48:38)
哈哈,非常感谢这位网友对我们“雅典娜”网页密码锁的支持!顺便更正一点,我们号称“开发将近十年”的技术,恰恰是您所说“做得很成功”的加密解密技术,而不是您所要破解的防拷贝技术。事实上,网页防拷贝、防下载、防打印的功能是我们后来才集成进去的,最长不超过一年时间。看过我们的技术文章《遇强越强——“雅典娜”网页密码锁攻防战实录》就会知道,“雅典娜”最初的版本并没有包括这些保护功能,而是让网友自己用JavaScript代码来实现这些外围保护。后来我们发现,这对网友的要求太高了,所以就在升级版本中陆续增加了各种保护。
不过,这些始终没有成为“雅典娜”的核心保护功能。您说的有道理,这些外围“保护不足”,因为IE浏览器的漏洞实在很多,不同的浏览器种类也很多,所以我们才要进一步研发“雅典娜”网页电子书。不过,现有的漏洞我们也会努力修补,发现一个处理一个。
言归正传,您说的“世界之窗”浏览器我们又试了一下,用Ctrl-A确实能够选定文字,但恕我们愚钝,复制操作我们尝试了很多次都没有成功。不过不要紧,姑且算作是可以复制吧。看来我们要好好研究一下“世界之窗”了。
现在,“雅典娜”网页密码锁又经过了修改,演示页面已经更新过了。请大家看看,漏洞是不是已经修补好了?
还是那句话:您的支持是我们进步的动力!谢谢!升级版本的“雅典娜”网页密码锁正在打包封装,很快就会对外发布,请大家留意华军软件园、天空下载站和我们的网站。
第五回合:防抓图、抗OCR另有乾坤
网友 cooleon(2007-05-25 11:34:14)
有个方法通用!
思路是抓图,然后用汉王文本王!
文本问题应该可行~!
龙之梦工作室(2007-05-25 18:34:21)
呵呵,这位网友一定没有认真看过我们与各位网友之前的对话吧?就是这篇文章:《遇强越强——“雅典娜”网页密码锁攻防战实录》。
我们在前面已经讲过了,防屏幕拷贝、防OCR识别,都不是“雅典娜”网页密码锁的防线范围之内,而是研发中的“雅典娜”网页电子书的任务。
我们已经给出了一个概念性的演示页面:http://www.28x28.com/doc/demo3.html。
您可以试试用汉王文本王识别一下,然后把识别的准确率有多少,告诉我们一声,好吗?
当然,“雅典娜”网页电子书的功能不会仅仅这个演示页面那么简单,不过一切都要等研发完成之后,大家才会知道,这里就不多讲了。
第六回合:抵御不明攻击——源码破解
网友 Hannah(2007-07-02 15:45:47)
(部分删节)
..... 内容太长这里贴不了 ....
<TR>
<TD style="COLOR: #808080" vAlign=center align=middle background=demo1.files/back_bottom1.png height=40>肇庆网站公安备案200502B0007<BR><A href="http://www.miibeian.gov.cn/" target=_blank>粤ICP备05048103号</A> </TD>
<TD style="COLOR: #808080" vAlign=center align=middle background=demo1.files/back_bottom2.png>版权所有 ? 2005 龙之梦工作室,保留一切权利。<BR>电子邮箱:<A href="mailto:master@28x28.com?subject=网友来信:">master@28x28.com</A> , <A href="mailto:co2288@126.com?subject=网友来信:">co2288@126.com</A> </TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></CENTER></BODY></HTML>
网友 Hannah(2007-07-02 15:39:59)
(部分删节)
<!-- BORDER-LEFT-STYLE: none; BORDER-RIGHT-STYLE: none; BORDER-TOP-STYLE: none; BORDER-BOTTOM-STYLE: none --><INPUT size=1 name=h><BR>[ <I>广袤深邃的宇宙中,有着种种神秘莫测的东西。在异常强大的物理场作用下,时空为之扭曲,形成奇异的时空隧道…… </I>] <BR><BR><BR><BR><BR>
<CENTER>
<P><B>超越时空(节选) </B></P><BR><BR><BR><BR><BR>作者:龙之梦 <BR><BR>版权所有?2002 龙之梦工作室,保留一切权利。<BR>主页:<A href="http://www.28x28.com/" target=_blank>http://www.28x28.com</A> , <A href="http://co.2288.org/" target=_blank>http://co.2288.org</A><BR>电子邮箱:<A href="mailto:master@28x28.com">master@28x28.com</A> , <A href="mailto:dragon_2k@21cn.com">dragon_2k@21cn.com</A><BR><BR><BR><BR><I>谨将此书献给中国人自己研制的CPU——“龙芯”的缔造者,中科院的精英们。在此作者向他们无畏艰险、敢作敢为的精神,表示崇高的敬意和无限的支持。(2002年10月)<BR></I><BR><BR><BR><BR></CENTER><BR><BR><BR><BR><BR>
<CENTER><SPAN><B>*** 版权声明 *** </B></SPAN></CENTER>
下面就是书的章节内容, 略过
龙之梦工作室(2007-07-02 18:30:40)
请给出具体破解方法,才能够确认您不是从网站或留言板的其它非加密页面上拷贝下来的。
网友 hannah(2007-07-03 11:16:46)
呵呵, 我要是从别的地方copy的
能够连<!-- BORDER-LEFT-STYLE: none; BORDER-RIGHT-STYLE: none; BORDER-TOP-STYLE: none; BORDER-BOTTOM-STYLE: none --><INPUT size=1 name=h>
这样不显示的东西都一起知道吗
能解就是能解
网友 hannah(2007-07-03 11:11:23)
具体方法, 呵呵, 这个是我的核心技术,
目前只能说无可奉告 :P
你们要确定是不是真的能解密,
只要再发布一个网上没有解密过的文件. (demo3.html ?)
我来解开了不就明白啦
龙之梦工作室(2007-07-03 12:41:02)
这个回答,说了等于没说。我们都知道IE浏览器的漏洞百出,提供演示页面的目的无非就是找到一切可能的破解方法,弥补漏洞。如果连破解方法都不提供,那么技术较量也无从谈起,只能等别人找到类似的破解方法了。
这样吧,demo3.html已经留给未来的“雅典娜”网页电子书演示页面了,我们提供一个demo2a.html页面,(网址:http://www.28x28.com/doc/demo2a.html),只是增加了一段弹出信息的JavaScript代码。请把页面开头部分代码贴出来,看看是不是存在漏洞。如果是,最好能够提供破解方法。您不提供的话,那就等别人提供。
谢谢大家的支持!您的支持是我们前进的动力!
网友 hannah(2007-07-03 13:03:58)
老大你这个也太偷懒了吧
=================================
<INPUT size=1 name=h><BR>
<SCRIPT language=javascript>
<!--
alert('JavaScript Test');
-->
</SCRIPT>
=================================
我不是反解的, 但是具体方法因为我在别的论坛跟别人讨论呢,所以暂时不能告知, 过几天吧
龙之梦工作室(2007-07-04 13:05:59)
好吧,等您的消息。我们自己也看看能不能找到破解方法。
无论如何,您也提供了一些信息给我们,至少确认有漏洞可以利用。谢谢您。
由于不知道破解方法,我们无法做出针对性的防御技术,只能够猜测有可能通过什么途径来改善防护。现在我们改了一下软件,演示页面demo2a.html也在原来的地方修改了一点点,请再试试能不能破解出来。
龙之梦工作室(2007-07-06 16:03:46)
OK,我们已经自己找出了漏洞的所在,并且经过验证,更新过的演示页面demo2.html已经弥补了这个缺陷。就是不知道,我们自己找到的破解方法是不是跟这位朋友的方法吻合。不妨等等看,接下来还有没有破解消息就会清楚。
网友 noname(2007-07-06 17:03:40)
鼠标动一下就退出, 这不是加密,这是BT了 :P
龙之梦工作室(2007-07-08 23:48:44)
多谢夸奖,技术升级本来就是无止境的,不影响阅读就是了。只不过匆忙修改出来的东西,还是不够完善,需要改进。
第七回合:并非漏洞的高级防御功能
网友 noname(2007-07-20 22:30:18)
请问,鼠标移动就退出的漏洞补上了吗?
龙之梦工作室(2007-07-20 23:37:40)
鼠标移动不会退出,点击才会退出。这个不是漏洞,而是新发布的功能。这是一种极端性的防御措施,称为高级防拷贝功能。目的是防范未知的非法操作。
用了这种防拷贝功能,不影响网页的正常浏览,仍然可以拖动滚动条,转鼠标滚轮,用键盘的PgUp、PgDn键翻页。但是不能按鼠标键,不能切换光标,否则立即退出,让试图拷贝的人没有可乘之机。
如果您觉得这种方法太极端了,想要回常规的加密,请修改配置文件usw.ini之中的strict参数。strict=1就是常规防拷贝。
谢谢您的支持!
第八回合:拒绝浮躁,认真态度赢尊重
网友 kaka(2007-07-26 10:39:06)
禁止脚本执行即可破解文字,复制图片。
http://img.28x28.com/dragon_doc/demo1.html
龙之梦工作室(2007-07-26 12:09:28)
这位朋友恐怕连最基本的试验都没有做,最原始的资料都没有看就信口开河吧?
请看技术文章《魔高一尺,道高一丈——雅典娜网页密码锁》(http://www.28x28.com/index.php?id=tech_000000048),这是本软件最初的文档资料了。注意其中的“破解尝试三:禁用JavaScript功能。禁用了JavaScript功能,那些屏蔽右键的功能该失效了吧?但是很不幸,禁用JavaScript之后连网页内容都看不到了。因为‘雅典娜’是用JavaScript功能解密和显示网页的,禁用就意味着什么都没有了。”
请容许我再次强调:没有调查就没有发言权,实践是检验真理的唯一标准。不要再信口开河了,这跟黑客的求实创新精神背道而驰。
网友 kaka(2007-07-26 12:58:00)
真的对你们很抱歉,你们难道真的没试过吗?如果我没得到真正的网页内容我是绝对不会在你们真发言的,如果以你们这种态度,我想你们会失去很多的,你们可以再出一张新网页,我用同样的办法照样可以获取网页内容。
最后还是说一句,不要那么自信。
龙之梦工作室(2007-07-26 15:17:10)
不好意思,可能您讲方法过于简略,那么我们只能够理解为默认的情况(使用IE浏览器,禁用脚本功能),而这种情况下我们当然做过试验,可以肯定是不能破解的。
请不用失望,我们对轻率浮躁的人抱不屑的态度,而对认真细致的人则会以同样严肃认真的态度来对待。您之前讲得过分简短,显得不够细致,所以被我们归入前一类人了。
如果您真的有破解的方法,希望您提供详细的方法,也好改变我们对您的看法,谢谢!
我们并非自信可以无敌手,实际上根本没有绝对的安全,攻与防本身就是一个道高一尺,魔高一丈的过程。公开演示加密页面的目的,就是要找出可能的漏洞,让双方的技术在较量中提高。
新网页就是http://www.28x28.com/doc/demo2a.html,您可以尝试破解。最好您讲清楚破解方法,大家都可以重复这个方法来验证,这就证明方法是有效的。
另外,提一个我们乱猜测的可能:您是不是用了“世界之窗”浏览器?是的话,就有可能是浏览器的兼容性问题,重定向到一个不加密的页面上去了。见以前的文章《网友称破解“雅典娜”网页加密,原来吃“诈糊”》(http://www.28x28.com/index.php?id=note_000000031)。会不会是这种情况呢?
无论破解是否成功,希望您能给予详尽一些的答复,我们会对每一位认真仔细的朋友给予应有的尊重,而把互联网的浮躁风气拒之门外。非常感谢!
第九回合:疏忽须检讨,批评应感谢
网友 noname(2007-10-09 03:19:51)
demo1 说网页被篡改了。
demo2 还没有看到任何东西就说我已经退出了。
都不知道是否让人看的。
龙之梦工作室(2007-10-09 12:40:02)
对于demo1.html,我们为工作上的疏漏而致歉!因为网上可以通过3个不同的地址访问demo1,分别是:
http://www.28x28.com/doc/demo1.html
http://co.2288.org/doc/demo1.html
http://img.28x28.com/dragon_doc/demo1.html
我们只测试了前面两个可以成功打开,忽略了最后一个。而恰恰是在访问最后一个地址的时候,加密页面的域名限制功能,误认为这是允许范围之外的非法域名,于是出现了“网页被非法篡改”的提示。
我们已经更新了demo1.html的加密页面,把最后一个地址加入到许可范围中,现在可以正常访问了。
非常感谢这位网友的批评指正!
至于demo2.html,请多加一些耐心。我们测试过demo2.html一直都是正常的,至于提示“已经退出”,是触动了快捷键或者鼠标动作引起的。因为demo2采用了“轻触退出”的高级防拷贝功能,用来防范各种未知的破解加密企图。
在高级防拷贝保护之下,可以正常浏览网页,允许拖动滚动条、鼠标滚轮、键盘箭头和翻页键。但除此之外,类似鼠标点击、快捷键、窗口切换等等都会使网页立即退出。具体请看《“雅典娜”网页密码锁升级,添高级防拷贝功能》(http://www.28x28.com/index.php?id=note_000000040)。
这位网友还没有看到页面就已经退出,估计就是由于在页面完全打开之前,就已触动了“轻触退出”的条件(也许仅仅是想切换到别的窗口去看看)。因为加密页面不象普通网页那样直接打开,它需要浏览器进行解密、解压缩、检验等等一系列工作,需要几秒钟的时间。如果是赛扬等等性能较低的电脑,等待的时间会稍为长一些,一般不会超过10秒。所以需要一点点的耐心,不乱动鼠标,就能够看到页面了。请再试试看。
再次感谢网友提出的意见,您会帮助我们进步!
网友 noname(2007-10-11 00:07:44)
demo1 没有说错误了,返回是首页不知道是否正常,但是:
demo2 我啥都没有动,还是退出了,我可是手离开鼠标才按确定的,还是马上退出 。
龙之梦工作室(2007-10-11 03:51:39)
谢谢您的继续关注!demo1确实是对网站首页的加密,请仔细看网页左下角的计数器,和真正的首页对照一下。如果计数值不同,那个就是加密了的演示页面,您可以尝试破解。
某些浏览器因为兼容性问题,会自动跳转到真正的网站首页去(未加密)。这个从网页计数器的数值上可以判断出来。
您说的demo2直接退出的情况是有些奇怪,我们还没有遇到过。因为没有更详细的信息,暂时我们只能猜测,可能是某个其它窗口(或者插件)在抢IE浏览器的显示。例如Windows主动弹出一个自动更新的窗口之类,就会导致demo2的退出。
我们也希望能够找出直接退出的原因,如果有条件的话,希望您可以试试用另一台电脑打开demo2,看看会不会自动退出。非常感谢您的支持!
龙之梦工作室(2007-12-14 14:39:30)
现在“雅典娜”网页密码锁软件又升级了,改善了“轻触退出”的高级防拷贝功能,不会一点鼠标就退出。请您再试试看,demo2.html能不能打开浏览?
第十回合:实事求是,真凭实据显功夫
网友 haha(2007-10-17 21:22:18)
要不了几分钟,纯粹用浏览器而已。
http://img.28x28.com/dragon_doc/demo2.html
(网页内容,略)
龙之梦工作室(2007-10-18 00:53:38)
好的,请提供具体破解方法,大家都可以按照破解步骤重复做出来的,那就可以证实您真的作了破解。我们也可以进行相应的技术改进了。多谢支持!
顺便给广大爱好者再强调一次,声称成功破解的,请务必讲明白破解的步骤,不要只摘录几句网页的内容。谁知道那是真的破解,还是手工录入的,或者从以前旧版本的漏洞里,重复别人的破解方法而得到的呢?
网友 水力滑行(2007-11-23 14:58:16)
很高兴在网上找到你们推出的“雅典娜”网页密码锁,使设计的网页代码有了保障,但有几个BUG能不能修改一下:
有双重滚动条,还有横向的滚动条,在BODY加上scroll=no或style=overflow:hidden就可以取消了父窗口滚动条。
改完就会发现,子窗口的宽度没达到100%。
还有一个小BUG,父窗口即使用上scroll=no或style=overflow:hidden,拖到最后就会有几个像素的溢出,改一下子窗口的背景颜色就会很明显。
这应该是你们的程序未完善吧,改好再给我发个试用的行吗?
龙之梦工作室(2007-11-23 22:35:44)
好的,我们先看看您所提出的BUG,然后尽量完善程序。如果能够改善,我们会把最新的免费版发送给您。
谢谢您对我们的支持!
网友 滑行(2007-11-29 00:02:06)
不好意思,破解了,但我还是相信你们的,希望在明天。
你们用JS做的代码不错,只是开始占CPU资源,不过I like it。
龙之梦工作室(2007-11-30 20:14:26)
破解也不足为奇,毕竟这个东西还要依赖不太牢靠的IE浏览器内核来解密。以往也有找到外围漏洞的,之后都是通过软件升级填补了漏洞。详情请看《遇强越强——“雅典娜”网页密码锁攻防战实录》(http://www.28x28.com/index.php?id=tech_000000054)。
没有绝对的安全,攻击与防御本来就是个道高一尺,魔高一丈的过程。请您提供具体的的破解方法,我们验证过后,再进行针对性的升级。
另外有个好消息,之前您提出的BUG,经过试验全部可以修复完善。目前正在改写软件代码,将会在下一个升级版本中发布。
JavaScript占CPU资源的问题出自IE内核的解释执行,不太好解决。我们已经做过优化,但浏览器要做解密、解压、校验等复杂运算,始终不够理想。希望双核CPU会表现好一些吧。
谢谢您的支持!这是我们进步的动力!
网友 滑行(2007-12-01 19:38:55)
好的,我用Email发过给你好了,希望你们可以更进加密方法。
龙之梦工作室(2007-12-07 13:00:52)
非常感谢您提供的破解方法!现在“雅典娜”网页密码锁已经升级,直接插入JavaScript代码的破解方法不再有效。您的支持促进了“雅典娜”软件的提高!
网友 滑行(2007-12-11 14:51:29)
被frame后也可以破解的原理也是用:document.documentElement.outerHTML。
龙之梦工作室(2007-12-14 15:35:25)
再次感谢您在E-mail中提供破解方法和防御设想!我们已经根据您的方法试验成功,并在版本v20071216中增加了frame框架嵌入的防御措施,请再试验。
不管是否发现漏洞,我们还是要遵循“最小权限”的原则。因为权限越小越安全,面对目前和未来的各种破解尝试,高级防拷贝比中级防拷贝安全,禁止框架嵌套比允许嵌套安全,等等。因此,对大家来说,能够不用框架就不用,是最稳妥的做法。
十一回合:遇强越强,技术交流促提高
网友 滑行(2008-01-10 13:03:02)
可以用类似zend混淆函数的方法将输出点隐藏,难度应该比较大,但最实用。
龙之梦工作室(2008-01-10 14:51:02)
程序中的输出点已经隐藏,看不到任何一个输出的地方。问题是JavaScripte原有的document.write仍然能用,outerHTML仍然可以看到内容,这个是修改不了的。所以说是JavaScript固有的弱点。
网友 滑行(2008-01-11 17:19:09)
即使已经看不到任何一个确切的输出地方,alert一下变量名称就知道是不是输出点了。我的意思是多级隐藏,也可以说是函数缠绕,一个缠一个或多个,就如用来加密php的zend。你们的密码锁只达到两级,我找了大概一个多小时就找到了,熟悉的话一分钟就解了,根本不用outerHTML。
龙之梦工作室(2008-01-12 11:53:09)
这个建议有一定道理,但是治标不治本啊。多级隐藏也始终是有限的,而且级数越多,越影响性能,现在解密都已经够慢的。
Zend的加密还是有一点优势,至少是用它自己的软件Zend Optimizer之类来执行解密,毕竟Zend Optimizer是编译好的机器指令代码。不象JavaScript,只能够依赖Internet Explorer内核来解释执行,不仅是慢,浏览器端的很多东西都控制不了(从安全角度讲这是对的)。
因为outerHTML的弱点已经存在,根据木桶原理,函数隐藏的方面只要破解难度大于利用outerHTML的难度就够。我们会继续考虑隐藏得深一些,不过也需要想更多的办法来构造纵深防御,才会更有效。
还是那句话:安全是相对的,没有绝对的安全。即使是已经编译成exe文件,还是可以通过逆向工程破解出来。我们的目标不是要制造绝对牢不可破的防护,而是要在合理的安全成本下,尽量提高破解的成本。只要破解的代价超过受保护的价值,那就够了。
谢谢您提供的新破解方法,您作出的支持也是需要耗费不少耐心的。我们的防护方法也要准备进一步升级了。
网友 ljhd(2008-01-06 14:20:00)
如果key文件被下载了,然后在本机使用了IIS虚拟了一个网址,然后将网页和key文件都拷贝到wwwroot目录中,那么网页还是可以看的。这样有一个问题,有些恶意的用户将网页全部下载(包括key文件),然后使用简单的手段就可以制造一个离线浏览器,这样网页还是没有起到保密的作用。
龙之梦工作室(2008-01-07 00:44:13)
静态HTML网页和JavaScript程序的能力有限,很难防御这种盗版方法。因为两者都可以完整下载,那么伪造服务器就能够完全复制。要彻底防御这种盗版,必然要动用服务器端程序,例如asp、php、jsp等。因为服务器端程序是无法下载的。
网友 ljhd(2008-01-07 16:24:27)
对于伪造服务器我想了一个比较简单的方法(还没有尝试)。我对js不是特别的熟悉,是否有fileExist这样的函数,如果某个目录下特定的文件不存在,则网页就会被清空。这样可以在一定程度上防止仿冒站点的方法。
龙之梦工作室(2008-01-09 04:34:50)
谢谢您的支持!我们现在明白您的需求了,是要一种伪造网站(尽可能)无法下载到的文件,用来识别真正的网站。
龙之梦工作室(2008-01-18 17:19:53)
“雅典娜”网页密码锁将发布升级版,主要升级包括:
……
二、加入网站标识功能,增强网站防伪能力。
为了防范直接保存加密网页文件,以克隆方式伪造网站的做法,“雅典娜”网页密码锁加入了网站防伪标识功能。
……
网友 ljhd(2008-01-19 23:08:03)
分发的key文件能否带有硬盘号或者网卡Mac地址(或者其他的javascrip能够得到的唯一ID标识)等信息,浏览器在客户端首先判断阅读此文章的用户是否合法。如果合法才能继续阅读文章的内容。
龙之梦工作室(2008-01-21 18:22:35)
事实上我们下一步是准备把网站防伪功能加上序列号,把防伪做得更彻底一些。这要用到随机序列号验证,因为服务器端的验证码写在ASP、JSP或者PHP的加密程序里,浏览器端是无法下载得到的,伪造网站将会无从下手。
只要伪造网站不可行,别人就只能浏览真正的网站。毕竟,会员管理的功能控制在自己的网站服务器程序中,会最有效、最安全。不过,任何安全都只是相对而言。您看iPhone已经是软硬件结合的安全保护,不是还有人破解吗?我们尽量提高破解的成本,让破解得不偿失就是了。
和盗版者比拼极端手段没有实际意义(排除纯技术意义上的研究),双方都只是在不断提高成本。您也体会到了,安全度、成本、易用性几个方面其实是互相牵制,改善某个方面总是以牺牲别的方面为代价,难有完美的解决办法。
比较现实的思路是:在合理成本的前提下,尽量给盗版者制造困难,提高盗版的成本,并且保障一定程度的易用性,取得各种因素的一个平衡。让大部分盗版者知难而退。剩下个别不惜代价,又有技术的盗版者,不要跟他单纯比拼技术和成本了,综合利用法律、经济等其它手段会更有效。
龙之梦工作室(2008-02-18 15:36:13)
最新版v20080214在浏览器端的JavaScript没有什么大的改进,新功能集中在服务器端的程序上。通过防伪标识号的计算,让假冒的服务器无法生成正确的随机序列号。
因为加密网页和JavaScript程序可以下载,而服务器端程序不能直接下载。那么保护方式就变成:
虽然下载了加密网页,但是要求正确的序列号才能够解密。服务器上的那个网页当然可以正常打开,但是没办法修改上面的网页代码。下载下来的可以修改,但是没有序列号又打不开。打不开就意味着最终的源代码没有输出,从而达到保护的目的。
请看看这样的防护会不会好一些。谢谢您的热心支持!祝新年进步!
网友 滑行(2008-03-06 08:08:03)
没用的!只要网页代码在客户端能正确显示出来,就可以用软件下载到客户端,再用木桶原理或outerHTML破解,一样是不能防止的。
龙之梦工作室(2008-03-06 16:38:00)
您好,请注意能够破解的前提:“只要网页代码在客户端能正确显示出来”。新版“雅典娜”所做的,就是让下载之后的代码无法显示,成为一堆废物。outerHTML要想再起作用,首先就要突破这个前提条件,也就是需要破解服务器端的验证保护。
现在是木桶的短板仍然在那里,但是板的数量增加了,所以围出来的口径变大,同样可以装更多的水。
这样解释不知您是否明白。您仍然可以实际验证一下,加了防伪序列号保护之后,要怎样才能破解源代码。
谢谢您的支持,希望我们能继续共同进步!
网友 滑行(2008-03-07 09:29:56)
增加服务器端防护,等于加密没有升级,反而增加开发人员的工作量。下载之后就打不开的功能也不用搞服务器端程序,JS程序就可以了,例如网址检查、字符限制、函数嵌套等等。你们的加密方法现在我也可以做,我不会C,用JS就可以。而且没有你们的复杂,对开发人员要求没有那么高,也不用禁地址栏了,在onload之前删除所有JS代码(就是删掉javascript标签)就可以。希望你们能够再升级加密。
龙之梦工作室(2008-03-07 17:30:00)
对的,难者不会,会者不难。我们说过只要水平足够,看过我们的介绍资料就可以自己开发出类似的软件。其实您对JavaScript的熟悉程度更高,也更有可能设计出新的JavaScript加密方法。
我们从传统C程序演变过来的加密,原本再复杂也没有什么性能问题,但是到了JavaScript程序就慢得厉害,这是需要在服务器端增加功能的一个原因。
另一个原因就是outerHTML、docoment.write之类的弱点问题了,现在还是没有更好的办法解决这些短板,说不定最终仍然要靠图片方式来避开源代码的信息保护——那就不叫“网页密码锁”了。
无论如何,现在的网页保护技术比几年前进步了不少。我们在继续探索,浏览器端和服务器端会同等考虑。希望您也继续发挥创意,看有没有更好的加密思路。
十二回合:成本计算,小块头有大智慧
网友 riverhhn(2007-11-06 13:08:48)
根本用不着解密,要盗版直接盗屏幕显示的内容是一样的,也不用写代码去复制文字,作为合法用户,我付钱就能看到最终页面,99%的系统是内部攻破的,我付一个用户的钱,把页面拷贝成图片,分享给千万盗版网站,这能有什么办法防范?你需要防范的是,有密钥的人,如何复制屏幕,这有可能吗?
龙之梦工作室(2007-11-07 17:25:43)
这是有可能的,但当然防御的成本就要高得多了,不排除以专用硬件解密阅读器接入互联网之类的方案。感谢您对“雅典娜”网页密码锁软件的关注,不过您还是没有仔细看我们网站上的相关文档资料。防止屏幕拷贝之类的任务,并不是“雅典娜”网页密码锁的防御范围,这个我们已经讲得很清楚。
要知道,“雅典娜”网页密码锁软件只是一个相对廉价的信息安全保护的小工具,您要用不惜代价的攻击手段来和有限的防御相比较,没有可比性。而如果防御手段也要不惜代价的话,又没有了实际意义。举例来说:以前金庸小说还有手抄本流传,您的防盗版措施有多强,还能够防止别人手工抄写吗?——理论上是有的:各地兴建大量监狱,在大街小巷布满秘密警察进行监视,一旦发现有人抄写、传递盗版就抓起来。但是这样的成本有多高?有没有人会这样防盗版?
根本没有绝对的安全,安全总是相对的。只要破解的代价达到或者超过了要保护的价值,就可以认为是相对安全的。出版社不怕人家买一本书回去,然后手抄来盗版吗?不怕,因为手抄的代价和一本书的售价相比,已经很高了。那么复印呢?复印盗版是要打击的,但是对于普通书刊来说,复印的成本还是比较高,而且复印的质量比原版的差,所以出版社防盗版还不至于连手抄和复印都要防。
回头看“雅典娜”网页密码锁,如果有数以万计的图片在等着您屏幕拷贝,那您慢慢拷贝去吧——和复印书刊一样,成本不见得低。
而且,您又忽略了“雅典娜”网页密码锁的关键用途——保护机密信息。为什么只看到防盗版呢?防盗版只是“雅典娜”的一个附属功能而已,目的是防止看到机密信息的人再复制出去。我们的演示页面当然把密钥也公布出来了,实际情况下能不能拿到密钥,都还是个问题。
网友 noname(2008-04-05 22:06:15)
打开某先进的抓屏软件,设定好截屏倒计时并开始计时,然后打开加密的网页。
倒计时到了之后,就自动把网页给截下来了。
(先倒计时后开网页,解决了高级加密的切换退出,因为截图也是自动的,不用按键,所以也解决了按键退出问题)
在这里我就不公开是哪个抓屏软件了,这是给你们的一个考验哈,愿你们的密码锁越来越完善啊~加油~
龙之梦工作室(2008-04-06 01:47:45)
首先谢谢您对我们的支持!这么出名的抓屏软件谁会不知道呢,您的方法其实比数码相机直接拍照还要繁琐一些。如果把网页做成每页要滚屏很多次,用数码相机都需要拍多张才拍得完,抓屏软件设定时会不会太麻烦呢?
我们设计软件的时候并非没有考虑抓屏软件这一点,防抓屏功能本身不是“雅典娜”网页密码锁软件必须满足的要求,这是早就明确的了。
我们的目的是提高破解的成本,让破解变得不值,这就够了。想要更强的防护,不是不可行,而是防御成本必定要提高,安全解决方案肯定会比较贵,所以问题在于买家是否认为值得购买。
具体请看《网友交流:关于信息安全保护与成本问题》(http://www.28x28.com/index.php?id=tech_000000077)。
“雅典娜”网页密码锁软件决不是终极保护方案,更多的产品会根据市场情况陆续推出。而对“雅典娜”网页密码锁本身,我们会在其防御范围内持续升级,不断完善和扩充防护功能。
|
|
|
相关文章:
 [原创] 更快、更高、更强——Super Prime超级质数机 [2007-10-15]
[原创] 数学世界的进化论与人工智能 [2007-02-15]
[原创] 关于歧视DIY服务器的问题 [2007-04-25]
[原创] 中小企业信息化的误区 [2007-04-25]
[原创] 魔高一尺,道高一丈——“雅典娜”网页密码锁 [2007-05-14]
[原创] 秘密之神——“雅典娜”网页密码锁 [2008-02-04]
最新留言:
 [2014-10-16]
[2014-10-16]
[2014-06-04]
[2014-06-04]
[2013-12-08]
[2013-11-29]
|
|
|
相关链接 |
|
|
人次